Поделиться через


Группы правил и правила DRS Брандмауэра веб-приложений

Azure Брандмауэр веб-приложений в Azure Front Door защищает веб-приложения от распространенных уязвимостей и эксплойтов. Наборы правил, управляемые Azure, позволяют легко развернуть защиту от типичного набора угроз безопасности. Так как Azure управляет этими наборами правил, правила обновляются при необходимости для защиты от новых подписей атак.

Набор правил по умолчанию (DRS) также включает правила сбора аналитики угроз Майкрософт, написанные в партнерстве с командой Microsoft Intelligence, чтобы обеспечить повышенное покрытие, исправления для конкретных уязвимостей и более эффективное ложноположительное сокращение.

Примечание.

При изменении версии набора правил в политике WAF все существующие настройки, внесенные в набор правил, будут сбрасываться в значения по умолчанию для нового набора правил. См. статью об обновлении или изменении версии набора правил.

Наборы правил по умолчанию

Управляемый Azure DRS включает правила для следующих категорий угроз:

  • Межсайтовые сценарии
  • Атаки Java.
  • Включение локальных файлов
  • Атака путем внедрения кода PHP.
  • Удаленное выполнение команд.
  • Включение удаленных файлов
  • Фиксация сеансов
  • Защита от внедрения кода SQL.
  • Атаки через протоколы

Номер версии DRS увеличивается при каждом добавлении сигнатур атак в набор правил.

DRS включен в режиме обнаружения во всех политиках WAF. Вы можете отключить или включить отдельные правила в DRS для удовлетворения требований приложения. Вы также можете установить определенные действия для каждого правила. Доступные действия: "Разрешить", "Блокировать", "Журнал" и "Перенаправление".

Иногда может потребоваться пропустить определенные атрибуты запроса из оценки брандмауэра веб-приложения (WAF). Распространенный пример — дополнительные токены Active Directory, которые используются для проверки подлинности. Можно настроить список исключений для управляемого правила, группы правил или всего набора правил. Дополнительные сведения см. в Брандмауэр веб-приложений Azure в списках исключений Azure Front Door.

По умолчанию DRS версии 2.0 и выше используют оценку аномалий, когда запрос соответствует правилу. Версии DRS до 2.0 блокируют запросы, которые активируют правила. Кроме того, настраиваемые правила можно настроить в той же политике WAF, если вы хотите обойти любые предварительно настроенные правила в drS.

Пользовательские правила всегда применяются перед вычислением правил в drS. Соответствующее действие правила применяется, если запрос соответствует пользовательскому правилу. Запрос блокируется или передается в серверную часть. Никакие другие пользовательские правила или правила в drS не обрабатываются. Вы также можете удалить DRS из политик WAF.

Правила сбора аналитики угроз (Майкрософт)

Правила сбора аналитики угроз (Майкрософт) записываются совместно с командой аналитиков угроз Майкрософт, чтобы обеспечить расширенный охват, исправления для конкретных уязвимостей и более эффективное сокращение ложноположительных результатов.

По умолчанию правила сбора аналитики угроз Майкрософт заменяют некоторые встроенные правила DRS, что приводит к отключению этих правил. Например, идентификатор правила 942440, обнаруженная последовательность комментариев SQL, была отключена и заменена правилом сбора аналитики угроз Майкрософт 99031002. Замененное правило снижает риск ложноположительных обнаружений из законных запросов.

Оценка аномалий

При использовании DRS 2.0 или более поздней версии, WAF использует оценку аномалий. Трафик, соответствующий любому правилу, не блокируется сразу, даже если WAF находится в режиме предотвращения. Вместо этого наборы правил OWASP определяют значение серьезности для каждого правила: Критический, Ошибка, Предупреждение или Уведомление. Серьезность влияет на числовое значение запроса, которое называется оценкой аномалий. Если запрос накапливает оценку аномалий 5 или больше, WAF принимает меры по запросу.

Важность правил Значение способствовало оценке аномалий
Критически важно 5
Ошибка 4
Предупреждение 3
Примечание. 2

При настройке WAF можно решить, как WAF обрабатывает запросы, превышающие пороговое значение оценки аномалий 5. Три параметра действия оценки аномалий: блокировать, журнал или перенаправление. Действие оценки аномалий, выбранное во время настройки, применяется ко всем запросам, превышающим пороговое значение оценки аномалий.

Например, если оценка аномалий составляет 5 или больше в запросе, а WAF находится в режиме предотвращения с действием оценки аномалий, установленным в качестве блокировки, запрос блокируется. Если оценка аномалии составляет 5 или больше по запросу, а WAF находится в режиме обнаружения, запрос регистрируется, но не блокируется.

Для блокировки запроса в режиме предотвращения с действием оценки аномалий достаточно совпадения с одним критическим правилом, так как общая оценка аномалий составляет 5. Но одно совпадение с правилом уровня Предупреждение увеличивает оценку аномалии только на 3, и этого недостаточно для блокировки трафика. При активации правила аномалии в журналах отображается действие "сопоставлено". Если оценка аномалии составляет 5 или больше, то с помощью действия оценки аномалий, настроенного для набора правил, активируется отдельное правило. Действие оценки аномалий по умолчанию — блокировать, что приводит к записи журнала с действием blocked.

Если WAF использует старую версию набора правил по умолчанию (до DRS 2.0), WAF выполняется в традиционном режиме. Трафик, который соответствует какому-либо правилу, рассматривается независимо от соответствия любым другим правилам. В традиционном режиме вы не видите полный набор правил, которым соответствует конкретный запрос.

Используемая версия DRS также определяет, какие типы контента поддерживаются для проверки текста запроса. Дополнительные сведения см. в разделе Какие типы содержимого поддерживает WAF? в часто задаваемых вопросах.

Обновление или изменение версии набора правил

Если вы обновляете или назначаете новую версию набора правил и хотите сохранить существующие переопределения и исключения правил, рекомендуется использовать PowerShell, CLI, REST API или шаблоны для внесения изменений в версию набора правил. Новая версия набора правил может иметь более новые правила, дополнительные группы правил и могут иметь обновления существующих подписей, чтобы обеспечить более высокую безопасность и уменьшить ложные срабатывания. Рекомендуется проверить изменения в тестовой среде, точно настроить при необходимости, а затем развернуть в рабочей среде.

Примечание.

Если вы используете портал Azure для назначения нового управляемого набора правил политике WAF, все предыдущие настройки из существующего управляемого набора правил, такие как состояние правила, действия правил и исключения уровня правил, будут сброшены на новые значения по умолчанию управляемого набора правил. Однако все пользовательские правила или параметры политики останутся не затронутыми во время назначения нового набора правил. Перед развертыванием в рабочей среде необходимо переопределить правила и проверить изменения.

DRS 2.1

Правила DRS 2.1 обеспечивают лучшую защиту, чем более ранние версии DRS. Она включает в себя другие правила, разработанные командой Microsoft Threat Intelligence, и обновления подписей для снижения ложных срабатываний. Кроме того, эта версия поддерживает преобразования, помимо декодирования URL-адресов.

DRS 2.1 содержит 17 групп правил, как показано в следующей таблице. Каждая группа содержит несколько правил, и вы можете настроить поведение для отдельных правил, групп правил или всего набора правил. DRS 2.1 базовый набор правил Open Web Application Security Project (OWASP) (CRS) 3.3.2 и включает дополнительные правила защиты, разработанные командой Microsoft Threat Intelligence.

Дополнительные сведения см. в разделе Настройка брандмауэра веб-приложения (WAF) для Azure Front Door.

Примечание.

DRS 2.1 доступен только в Azure Front Door Premium.

Группа правил ruleGroupName Description
Общие сведения Общие Общая группа
METHOD-ENFORCEMENT METHOD-ENFORCEMENT Методы блокировки (PUT, PATCH)
PROTOCOL-ENFORCEMENT PROTOCOL-ENFORCEMENT Защита от проблем с протоколами и кодированием
PROTOCOL-ATTACK PROTOCOL-ATTACK Защита от внедрения заголовка, несанкционированных запросов и разделения ответа
APPLICATION-ATTACK-LFI LFI Защита от атак, направленных на путь и файлы
APPLICATION-ATTACK-RFI RFI Защита от атак включения удаленного файла (RFI)
APPLICATION-ATTACK-RCE RCE Защита от атак удаленного выполнения кода
APPLICATION-ATTACK-PHP PHP Защита от атак путем внедрения кода PHP
APPLICATION-ATTACK-NodeJS NODEJS Защита от атак Node.js
APPLICATION-ATTACK-XSS Атака Защита от атак с использованием межсайтовых сценариев
APPLICATION-ATTACK-SQLI SQLI Защита от атак путем внедрения кода SQL
APPLICATION-ATTACK-SESSION-FIXATION ИСПРАВЛЕНИЕ Защита от атак с фиксацией сеанса
APPLICATION-ATTACK-SESSION-JAVA Java Защита от атак Java
MS-ThreatIntel-WebShells MS-ThreatIntel-WebShells Защита от атак веб-оболочки
MS-ThreatIntel-AppSec MS-ThreatIntel-AppSec Защита от атак AppSec
MS-ThreatIntel-SQLI MS-ThreatIntel-SQLI Защита от атак SQLI
MS-ThreatIntel-CVEs MS-ThreatIntel-CVEs Защита от атак CVE

Отключенные правила

Следующие правила отключены по умолчанию для DRS 2.1.

Идентификатор правила Группа правил Description Сведения
942110 SQLI Атака путем внедрения кода SQL: обнаружено общее тестирование внедрения Заменено правилом MSTIC 99031001
942150 SQLI Атака путем внедрения кода SQL Заменено правилом MSTIC 99031003
942260 SQLI Обнаруживает основные попытки обхода аутентификации SQL 2/3 Заменено правилом MSTIC 99031004
942430 SQLI Ограниченный доступ аномалий обнаруженного символа SQL (аргументы): # превышено количество специальных символов (12) Слишком много ложноположительных результатов
942440 SQLI Обнаруженная последовательность комментариев SQL Заменено правилом MSTIC 99031002
99005006 MS-ThreatIntel-WebShells Попытка взаимодействия со Spring4Shell Включение правила для предотвращения уязвимости SpringShell
99001014 MS-ThreatIntel-CVEs Попытка внедрения выражений маршрутизации Spring Cloud CVE-2022-22963 Включение правила для предотвращения уязвимости SpringShell
99001015 MS-ThreatIntel-WebShells Попытка использования небезопасных объектов класса Spring Framework CVE-2022-22965 Включение правила для предотвращения уязвимости SpringShell
99001016 MS-ThreatIntel-WebShells Попытка внедрения актуатора шлюза Spring Cloud CVE-2022-22947 Включение правила для предотвращения уязвимости SpringShell
99001017 MS-ThreatIntel-CVEs Попытка отправки файла Apache Struts CVE-2023-50164. Включение правила для предотвращения уязвимостей Apache Struts

DRS 2.0

Правила DRS 2.0 обеспечивают лучшую защиту, чем более ранние версии DRS. DRS 2.0 также поддерживает преобразования за рамки декодирования URL-адресов.

CRS 2.0 включает в себя 17 групп правил, как показано в следующей таблице. Каждая группа содержит несколько правил. Вы можете отключить отдельные правила и целые группы правил.

Примечание.

Служба DRS 2.0 доступна только в Azure Front Door ценовой категории "Премиум".

Группа правил ruleGroupName Description
Общие сведения Общие Общая группа
METHOD-ENFORCEMENT METHOD-ENFORCEMENT Методы блокировки (PUT, PATCH)
PROTOCOL-ENFORCEMENT PROTOCOL-ENFORCEMENT Защита от проблем с протоколами и кодированием
PROTOCOL-ATTACK PROTOCOL-ATTACK Защита от внедрения заголовка, несанкционированных запросов и разделения ответа
APPLICATION-ATTACK-LFI LFI Защита от атак, направленных на путь и файлы
APPLICATION-ATTACK-RFI RFI Защита от атак включения удаленного файла (RFI)
APPLICATION-ATTACK-RCE RCE Защита от атак удаленного выполнения кода
APPLICATION-ATTACK-PHP PHP Защита от атак путем внедрения кода PHP
APPLICATION-ATTACK-NodeJS NODEJS Защита от атак Node.js
APPLICATION-ATTACK-XSS Атака Защита от атак с использованием межсайтовых сценариев
APPLICATION-ATTACK-SQLI SQLI Защита от атак путем внедрения кода SQL
APPLICATION-ATTACK-SESSION-FIXATION ИСПРАВЛЕНИЕ Защита от атак с фиксацией сеанса
APPLICATION-ATTACK-SESSION-JAVA Java Защита от атак Java
MS-ThreatIntel-WebShells MS-ThreatIntel-WebShells Защита от атак веб-оболочки
MS-ThreatIntel-AppSec MS-ThreatIntel-AppSec Защита от атак AppSec
MS-ThreatIntel-SQLI MS-ThreatIntel-SQLI Защита от атак SQLI
MS-ThreatIntel-CVEs MS-ThreatIntel-CVEs Защита от атак CVE

DRS 1.1

Группа правил ruleGroupName Description
PROTOCOL-ATTACK PROTOCOL-ATTACK Защита от внедрения заголовка, несанкционированных запросов и разделения ответа
APPLICATION-ATTACK-LFI LFI Защита от атак, направленных на путь и файлы
APPLICATION-ATTACK-RFI RFI Защита от атак путем включения удаленного файла
APPLICATION-ATTACK-RCE RCE Защита от удаленного выполнения команд
APPLICATION-ATTACK-PHP PHP Защита от атак путем внедрения кода PHP
APPLICATION-ATTACK-XSS Атака Защита от атак с использованием межсайтовых сценариев
APPLICATION-ATTACK-SQLI SQLI Защита от атак путем внедрения кода SQL
APPLICATION-ATTACK-SESSION-FIXATION ИСПРАВЛЕНИЕ Защита от атак с фиксацией сеанса
APPLICATION-ATTACK-SESSION-JAVA Java Защита от атак Java
MS-ThreatIntel-WebShells MS-ThreatIntel-WebShells Защита от атак веб-оболочки
MS-ThreatIntel-AppSec MS-ThreatIntel-AppSec Защита от атак AppSec
MS-ThreatIntel-SQLI MS-ThreatIntel-SQLI Защита от атак SQLI
MS-ThreatIntel-CVEs MS-ThreatIntel-CVEs Защита от атак CVE

DRS 1.0

Группа правил ruleGroupName Description
PROTOCOL-ATTACK PROTOCOL-ATTACK Защита от внедрения заголовка, несанкционированных запросов и разделения ответа
APPLICATION-ATTACK-LFI LFI Защита от атак, направленных на путь и файлы
APPLICATION-ATTACK-RFI RFI Защита от атак путем включения удаленного файла
APPLICATION-ATTACK-RCE RCE Защита от удаленного выполнения команд
APPLICATION-ATTACK-PHP PHP Защита от атак путем внедрения кода PHP
APPLICATION-ATTACK-XSS Атака Защита от атак с использованием межсайтовых сценариев
APPLICATION-ATTACK-SQLI SQLI Защита от атак путем внедрения кода SQL
APPLICATION-ATTACK-SESSION-FIXATION ИСПРАВЛЕНИЕ Защита от атак с фиксацией сеанса
APPLICATION-ATTACK-SESSION-JAVA Java Защита от атак Java
MS-ThreatIntel-WebShells MS-ThreatIntel-WebShells Защита от атак веб-оболочки
MS-ThreatIntel-CVEs MS-ThreatIntel-CVEs Защита от атак CVE

Bot Manager 1.0

Набор правил Bot Manager 1.0 обеспечивает защиту от вредоносных ботов и обнаружения хороших ботов. Правила обеспечивают детальный контроль над ботами, обнаруженными WAF, классифицируя трафик бота как "Хороший", "Плохой" или "Неизвестный".

Группа правил Description
BadBots Защита от недопустимых ботов
GoodBots Выявление допустимых ботов
UnknownBots Определение неизвестных ботов

Bot Manager 1.1

Набор правил Bot Manager 1.1 — это улучшение набора правил Bot Manager 1.0. Она обеспечивает расширенную защиту от вредоносных ботов и повышает уровень обнаружения ботов.

Группа правил Description
BadBots Защита от недопустимых ботов
GoodBots Выявление допустимых ботов
UnknownBots Определение неизвестных ботов

Следующие группы правил и правила доступны при использовании Azure Брандмауэр веб-приложений в Azure Front Door.

Наборы правил 2.1

Общие

Идентификатор правила Description
200002 Не удалось проанализировать текст запроса
200003 Неудачная строгая проверка текста составного запроса

Принудительное применение метода

Идентификатор правила Description
911100 Метод не разрешен политикой

Применение протоколов

Идентификатор правила Description
920100 Недопустимая строка HTTP-запроса.
920120 Предпринята попытка обхода многопартийных или форм-данных.
920121 Предпринята попытка обхода многопартийных или форм-данных.
920160 Заголовок HTTP длины содержимого не является числовым.
920170 Заголовок GET или HEAD с содержимым текста
920171 Запрос GET или HEAD с Transfer-Encoding.
920180 В запросе POST отсутствует заголовок Content-Length
920181 Заголовки content-Length и Transfer-Encoding представляют 99001003.
920190 Диапазон: недопустимое значение последнего байта
920200 Диапазон: слишком много полей (6 или более).
920201 Диапазон: слишком много полей для pdf-запроса (35 или более).
920210 Найдено несколько ресурсов данных заголовка подключения или конфликтующие данные заголовка подключения
920220 Попытка атаки на кодирование URL-адресов.
920230 Обнаружено несколько кодировок URL-адресов.
920240 Попытка атаки на кодирование URL-адресов.
920260 Попытка атаки с использованием полной или половины ширины Юникода.
920270 Недопустимый символ в запросе (пустой символ).
920271 Недопустимый символ в запросе (непечатываемые символы).
920280 Запрос отсутствует заголовок узла.
920290 Пустой заголовок узла.
920300 Запрос отсутствия заголовка accept.
920310 Запрос имеет пустой заголовок accept.
920311 Запрос имеет пустой заголовок accept.
920320 Отсутствует заголовок агента пользователя.
920330 Пустой заголовок агента пользователя.
920340 Запрос содержит содержимое, но отсутствует заголовок типа контента.
920341 Запрос, содержащий содержимое, требует заголовка Content-Type.
920350 Заголовок узла — это числовой IP-адрес.
920420 Тип контента запроса не разрешен политикой.
920430 Версия протокола HTTP не разрешена политикой.
920440 Расширение URL-файла ограничено политикой.
920450 Заголовок HTTP ограничен политикой.
920470 Недопустимый заголовок типа контента.
920480 Charset типа контента запроса не допускается политикой.
920500 Попытайтесь получить доступ к резервному копированию или рабочему файлу.

Атака протокола

Идентификатор правила Description
921110 Атака типа "Несанкционированный HTTP-запрос"
921120 Атака типа "Разделение HTTP-ответа"
921130 Атака типа "Разделение HTTP-ответа"
921140 Атака типа "Вставка заголовка HTTP" через заголовки
921150 Атака типа "Вставка заголовка HTTP" через полезные данные (обнаружено CR/LF)
921151 Атака типа "Вставка заголовка HTTP" через полезные данные (обнаружено CR/LF)
921160 Атака путем внедрения заголовка HTTP через полезные данные (обнаружены CR или LF и имя заголовка)
921190 Разделение HTTP (CR/LF в имени файла запроса обнаружено)
921200 Атака путем внедрения кода LDAP

LFI: включение локального файла

Идентификатор правила Description
930100 Атака с обходом пути (/../)
930110 Атака с обходом пути (/../)
930120 Попытка доступа к файлу ОС
930130 Попытка доступа к ограниченному файлу

RFI: включение удаленного файла

Идентификатор правила Description
931100 Возможная атака удаленного включения файлов (RFI): параметр URL с помощью IP-адреса
931110 Возможная атака с включением удаленного файла (RFI): общее имя уязвимого параметра RFI использовано с полезными данными URL-адреса
931120 Возможная атака с включением удаленного файла (RFI): полезные данные URL-адреса использованы с вопросительным знаком (?) в конце
931130 Возможная атака с включением удаленного файла (RFI): ссылка вне домена

RCE: удаленное выполнение команд

Идентификатор правила Description
932100 Удаленное выполнение команды: внедрение команд UNIX
932105 Удаленное выполнение команды: внедрение команд UNIX
932110 Удаленное выполнение команды: внедрение команды Windows
932115 Удаленное выполнение команды: внедрение команды Windows
932120 Удаленное выполнение команд: обнаружена команда Windows PowerShell
932130 Удаленное выполнение команд: обнаружено выражение оболочки Unix или уязвимость Confluence (CVE-2022-26134)
932140 Удаленное выполнение команд: обнаружена команда FOR или IF Windows PowerShell
932150 Удаленное выполнение команды: прямое выполнение команды UNIX
932160 Удаленное выполнение команд: обнаружен код оболочки Unix
932170 Удаленное выполнение команд: Shellshock (CVE-2014-6271)
932171 Удаленное выполнение команд: Shellshock (CVE-2014-6271)
932180 Попытка передачи файла с ограниченным доступом

Атаки PHP

Идентификатор правила Description
933100 Атака путем внедрения кода PHP: обнаружен открывающий и закрывающий тег
933110 Атака путем внедрения кода PHP: обнаружена передача файла сценария PHP
933120 Атака путем внедрения кода PHP: обнаружена директива конфигурации
933130 Атака путем внедрения кода PHP: обнаружены переменные
933140 Атака путем внедрения кода PHP: обнаружен поток ввода-вывода
933150 Атака путем внедрения кода PHP: обнаружено имя функции PHP с высоким уровнем риска
933151 Атака путем внедрения кода PHP: обнаружено имя функции PHP со средним уровнем риска
933160 Атака путем внедрения кода PHP: обнаружен вызов функции PHP с высоким уровнем риска
933170 Атака путем внедрения кода PHP: внедрение сериализованных объектов
933180 Атака путем внедрения кода PHP: обнаружен вызов функции переменной
933200 Атака путем внедрения кода PHP: обнаружена схема-оболочка
933210 Атака путем внедрения кода PHP: обнаружен вызов функции переменной

Атаки JS узла

Идентификатор правила Description
934100 Атака путем внедрения Node.js

XSS: межсайтовые скрипты

Идентификатор правила Description
941100 Библиотека libinjection обнаружила атаку с выполнением межсайтового сценария
941101 Библиотека libinjection обнаружила атаку с выполнением межсайтового сценария
Правило обнаруживает запросы с заголовком Referer
941110 Фильтр межсайтовых сценариев категории 1: вектор тега скрипта
941120 Фильтр межсайтовых сценариев категории 2: вектор обработчика событий
941130 Фильтр межсайтовых сценариев категории 3: вектор атрибута
941140 Фильтр межсайтовых сценариев категории 4: вектор URI JavaScript
941150 Фильтр межсайтовых сценариев категории 5: запрещенные атрибуты HTML
941160 NoScript XSS InjectionChecker: внедрение HTML
941170 NoScript XSS InjectionChecker: внедрение атрибута
941180 Ключевые слова из списка блокировки средства проверки узлов
941190 Межсайтовый сценарий с использованием таблиц стилей
941200 Межсайтовый сценарий с использованием фреймов VML
941210 Межсайтовый сценарий с использованием замаскированного JavaScript
941220 Межсайтовый сценарий с использованием замаскированного сценария Visual Basic
941230 XSS с помощью embed тега
941240 Использование import XSS или implementation атрибут
941250 Фильтры межсайтовых сценариев Internet Explorer — обнаружена атака
941260 XSS с помощью meta тега
941270 XSS с помощью link href
941280 XSS с помощью base тега
941290 XSS с помощью applet тега
941300 XSS с помощью object тега
941310 Фильтр XSS с неправильной кодировкой US-ASCII — обнаружена атака
941320 Обнаружена возможная атака с выполнением межсайтового сценария — обработчик тегов HTML
941330 Фильтры межсайтовых сценариев Internet Explorer — обнаружена атака
941340 Фильтры межсайтовых сценариев Internet Explorer — обнаружена атака
941350 Кодировка IE XSS UTF-7 — обнаружена атака
941360 Обнаружена обфускация JavaScript
941370 Найдена глобальная переменная JavaScript
941380 Обнаружено внедрение шаблона на стороне клиента AngularJS

SQLI: внедрение SQL

Идентификатор правила Description
942100 Атака внедрения SQL обнаружена с помощью libinjection.
942110 Атака на внедрение SQL: обнаружена распространенная проверка внедрения.
942120 Атака на внедрение SQL: обнаружен оператор SQL.
942140 Атака на внедрение SQL: обнаружены распространенные имена баз данных.
942150 Атака путем внедрения кода SQL
942160 Обнаруживает слепые тесты SQLI с помощью sleep() или benchmark().
942170 Обнаруживает попытки тестирования теста SQL и внедрения спящего режима, включая условные запросы.
942180 Обнаруживает базовые попытки обхода проверки подлинности SQL 1/3.
942190 Обнаруживает попытки выполнения кода MSSQL и сбора информации.
942200 Обнаруживает примечания MySQL -/space-obfuscated внедрения и обратного завершения.
942210 Обнаруживает попытки внедрения в цепочку SQL 1/2.
942220 Поиск целых атак переполнения, они взяты из прошки, за исключением 3.0.00738585072007e-308 является "волшебным номером".
942230 Обнаруживает условные попытки внедрения SQL.
942240 Обнаруживает переключение charset MySQL и попытки DOS MSSQL.
942250 Обнаруживает СОПОСТАВЛЕНИЯ ПРОТИВ, СЛИЯНИЕ и ВЫПОЛНЕНИЕ НЕМЕДЛЕННЫХ инъекций.
942260 Обнаруживает базовые попытки обхода проверки подлинности SQL 2/3.
942270 Ищете базовую внедрение SQL. Общая строка атаки для MySQL, Oracle и других.
942280 Обнаруживает внедрение Postgres pg_sleep, ожидает задержки атак и попыток завершения работы базы данных.
942290 Находит базовые попытки внедрения MongoDB SQL.
942300 Обнаруживает примечания, условия и инъекции ch(a)r MySQL.
942310 Обнаруживает попытки внедрения в цепочку SQL 2/2.
942320 Обнаруживает хранимую процедуру или внедрение функций MySQL и PostgreSQL.
942330 Обнаруживает классические пробы внедрения SQL 1/2.
942340 Обнаруживает базовые попытки обхода проверки подлинности SQL 3/3.
942350 Обнаруживает внедрение UDF MySQL и другие попытки манипуляций с данными и структурой.
942360 Обнаруживает сцепленные базовые попытки внедрения SQL и SQLLFI.
942361 Обнаруживает базовую внедрение SQL на основе изменения ключевого слова или объединения.
942370 Обнаруживает классические пробы внедрения sql 2/2.
942380 Атака путем внедрения кода SQL
942390 Атака путем внедрения кода SQL
942400 Атака путем внедрения кода SQL
942410 Атака путем внедрения кода SQL
942430 Обнаружение аномалий с ограниченными символами SQL (args): число специальных символов превысило (12).
942440 Обнаружена последовательность комментариев SQL
942450 Определяемая шестнадцатеричная кодировка SQL.
942460 Оповещение об обнаружении аномалий мета-символов — повторяющиеся символы, отличные от word.
942470 Атака путем внедрения кода SQL
942480 Атака путем внедрения кода SQL
942500 Обнаружен внутренний комментарий MySQL
942510 Обнаружена попытка обхода SQLI посредством тактов или обратных тактов.

Фиксация сеансов

Идентификатор правила Description
943100 Возможная атака с фиксацией сеанса: установка значений файла cookie в HTML
943110 Возможная атака с фиксацией сеанса: имя параметра SessionID с источником ссылки вне домена
943120 Возможная атака с фиксацией сеанса: имя параметра SessionID без источника ссылки

Атаки Java.

Идентификатор правила Description
944100 Удаленное выполнение команд: Apache Struts, Oracle WebLogic
944110 Обнаружение потенциального выполнения атакующего кода
944120 Возможное выполнение атакующего кода и удаленное выполнение команды
944130 Подозрительные классы Java
944200 Несанкционированное использование десериализации Java Apache Commons
944210 Возможное использование сериализации Java
944240 Удаленное выполнение команды: уязвимость сериализации и Log4j в Java (CVE-2021-44228, CVE-2021-45046)
944250 Удаленное выполнение команд: обнаружен подозрительный метод Java

MS-ThreatIntel-WebShells

Идентификатор правила Description
99005002 Попытка взаимодействия с веб-оболочкой (POST)
99005003 Попытка передачи в веб-оболочку (POST) — CHOPPER PHP
99005004 Попытка передачи в веб-оболочку (POST) — CHOPPER ASPX
99005005 Попытка взаимодействия с веб-оболочкой
99005006 Попытка взаимодействия со Spring4Shell

MS-ThreatIntel-AppSec

Идентификатор правила Description
99030001 Внедрение обходного пути в заголовки (/.././../)
99030002 Внедрение обходного пути в текст запроса (/.././../)

MS-ThreatIntel-SQLI

Идентификатор правила Description
99031001 Атака путем внедрения кода SQL: обнаружено общее тестирование внедрения
99031002 Обнаруженная последовательность комментариев SQL
99031003 Атака путем внедрения кода SQL
99031004 Обнаруживает основные попытки обхода аутентификации SQL 2/3

MS-ThreatIntel-CVEs

Идентификатор правила Description
99001001 Попытка использования REST API F5 tmui (CVE-2020-5902) с известными учетными данными
99001002 Попытка обхода каталога Citrix NSC_USER CVE-2019-19781
99001003 Попытка использования соединителя мини-приложения Atlassian Confluence CVE-2019-3396
99001004 Попытка использования пользовательского шаблона Pulse Secure CVE-2020-8243
99001005 Попытка использования конвертера типов SharePoint CVE-2020-0932
99001006 Попытка обхода каталога Pulse Connect CVE-2019-11510
99001007 Попытка включения локального файла J-Web в ос Junos OS CVE-2020-1631
99001008 Попытка обхода пути Fortinet CVE-2018-13379
99001009 Попытка внедрения Apache Struts ognl CVE-2017-5638
99001010 Попытка внедрения Apache Struts ognl CVE-2017-12611
99001011 Попытка обхода пути Oracle WebLogic CVE-2020-14882
99001012 Попытка использования Telerik WebUI небезопасной десериализации CVE-2019-18935
99001013 Попытка небезопасной десериализации XML в SharePoint CVE-2019-0604
99001014 Попытка внедрения выражений маршрутизации Spring Cloud CVE-2022-22963
99001015 Попытка использования небезопасных объектов класса Spring Framework CVE-2022-22965
99001016 Попытка внедрения актуатора шлюза Spring Cloud CVE-2022-22947
99001017 Попытка отправки файла Apache Struts CVE-2023-50164

Примечание.

При просмотре журналов WAF может появиться идентификатор правила 949110. Описание правила может включать превышение оценки аномалий для входящего трафика.

Это правило указывает, что общая оценка аномалий для запроса превысила максимальную допустимую оценку. Дополнительные сведения см. в разделе Оценка аномалий.

При настройке политики WAF необходимо изучить другие правила, которые были активированы запросом, чтобы можно было настроить конфигурацию WAF. Дополнительные сведения см. в статье "Настройка Azure Брандмауэр веб-приложений для Azure Front Door".

Следующие шаги